Построчное удаление данных из таблицы БД

@nikolaj008 · Регистрация: 29.10.2015

Author24 — интернет-сервис помощи студентам

Здравствуйте!
Сразу прошу прощение за глупый вопрос...
У меня появилась идея сделать универсальный файл для удаления строк из таблиц ... чтоб не создавать новый файл delete.php код каждую таблицу.

Как передавать id строки я знаю, но как правильно передать в скрипт название таблицы и ссылки для переадресации, не совсем понимаю...

Код файла delete.php:

PHP

<?php
include 'old_connection.php';
if(isset($_GET['id']))
{        
    $query ="DELETE FROM request_supply WHERE id = '$id'";
 
    $result = mysqli_query($link, $query) or die("Ошибка " . mysqli_error($link)); 
    mysqli_close($link);
    
    echo "<h1>Запись успешно удалена</h1>";
 
 
//Ожидание 1 секунды и перенаправление пользователя
header('Refresh: 1; http://factory/request_supply');
}
?>

Строчка с передачей id:

PHP/HTML

1	<td><p><a href="delete.php?id=<?php echo $row['id']?>">Удалить запись</a></p></td>

Можно ли вообще передавать название табл. и ссылки для переадресации? (таблиц у меня около 16 и создавать под каждую обработчик, не совсем корректно, я думаю)

Может, у Вас будут рекомендации по улучшению процесса удаления?

Всем заранее спасибо за помощь!)

@imaster · 30.04.2019, 17:14

Как то так

PHP

<?php
include 'old_connection.php';
if(isset($_GET['id']) && isset($_GET['table']))
{   
    $id = (int) $_GET['id'];
    $table = mysqli_real_escape_string($_GET['table']);
    $redirect = (isset($_GET['redirect'])) ? $_GET['redirect'] : "http://адрес для редиректа по умолчанию";
 
    $query ="DELETE FROM `{$table}` WHERE `id` = {$id}";
 
    $result = mysqli_query($link, $query) or die("Ошибка " . mysqli_error($link)); 
    mysqli_close($link);
    
    echo "<h1>Запись успешно удалена</h1>";
 
 
    //Ожидание 1 секунды и перенаправление пользователя
    header('Refresh: 1; url='.$redirect);
}
?>

@estic · 30.04.2019, 17:46

Удалять нужно POST-запросом (или специальным DELETE-запросом), при этом нет необходимости передавать идентификатор именно в адресе. Для перенаправления используйте стандартный заголовок Location. Информацию о результатах удаления выводите уже после перенаправления.

Что касается имени таблицы, его можно указать прямо в адресе. Лично я обычно использую API, в котором имя таблицы присутствует в адресе косвенно, а фактически размещается в "корневой" таблице или определяется с учетом "корневой" таблицы, например для адреса /table в корневой таблице будет поле id с идентификатором table, а имя таблицы будет взято или из отдельного поля (при его использовании), или сформировано на основе идентификатора (например к идентификатору будет добавлен табличный префикс, состоящий из символа подчеркивания; могут быть применены и какие-нибудь более сложные преобразования).

Добавлено через 1 минуту

Сообщение от imaster

DELETE FROM `{$table}`

Экранирование имени таблицы не защитит от инъекции

@imaster · 30.04.2019, 21:45

Сообщение от estic

Экранирование имени таблицы не защитит от инъекции

Ну это понятно)
Перед формированием SQL запроса, имя таблицы обрабатывается

PHP

1	$table = mysqli_real_escape_string($_GET['table']);

@Jewbacabra · 30.04.2019, 22:54

Сообщение от imaster

Перед формированием SQL запроса, имя таблицы обрабатывается

Так это и есть экранирование, которое

Сообщение от imaster

защитит от инъекции

@nikolaj008 · 03.05.2019, 20:40 **[ТС]**

imaster, прошу прощения за глупый вопрос, а как передать параметры: $id, $table, $redirect, файлу delete.php ?

Просто когда я передаю их так:

PHP/HTML

<a href="lib_modules/delete/delete_contracts.php?
id_cont=<?php echo $item['id_cont']?>&
table=contracts&
redirect=http://factory/contracts
">Удалить</a>

То у меня вылетает ошибка:
Warning: mysqli_real_escape_string() expects exactly 2 parameters, 1 given in F:\OSPanel\domains\Factory\lib_modules\delete\delete_contracts.php on line 6

Warning: mysqli_query() expects parameter 1 to be mysqli, null given in F:\OSPanel\domains\Factory\lib_modules\delete\delete_contracts.php on line 11

Warning: mysqli_error() expects parameter 1 to be mysqli, null given in F:\OSPanel\domains\Factory\lib_modules\delete\delete_contracts.php on line 11
Ошибка

@imaster · 03.05.2019, 21:32

Замените

PHP

1	$table = mysqli_real_escape_string($_GET['table']);

на

PHP

1	$table = preg_replace('/[^a-z0-9\-\_]/i', '', $_GET['table']);

Так будет правильней.

@estic 1263 / 960 / 226 Регистрация: 01.10.2018 Сообщений: 3,717
	30.04.2019, 17:46	3
	Удалять нужно POST-запросом (или специальным DELETE-запросом), при этом нет необходимости передавать идентификатор именно в адресе. Для перенаправления используйте стандартный заголовок Location. Информацию о результатах удаления выводите уже после перенаправления. Что касается имени таблицы, его можно указать прямо в адресе. Лично я обычно использую API, в котором имя таблицы присутствует в адресе косвенно, а фактически размещается в "корневой" таблице или определяется с учетом "корневой" таблицы, например для адреса /table в корневой таблице будет поле id с идентификатором table, а имя таблицы будет взято или из отдельного поля (при его использовании), или сформировано на основе идентификатора (например к идентификатору будет добавлен табличный префикс, состоящий из символа подчеркивания; могут быть применены и какие-нибудь более сложные преобразования). Добавлено через 1 минуту Сообщение от imaster DELETE FROM `{$table}` Экранирование имени таблицы не защитит от инъекции 1

@Jewbacabra 4925 / 3920 / 1620 Регистрация: 24.04.2014 Сообщений: 11,441
	30.04.2019, 22:54	5
	Сообщение от imaster Перед формированием SQL запроса, имя таблицы обрабатывается Так это и есть экранирование, которое Сообщение от imaster защитит от инъекции 0

	03.05.2019, 21:32